Stangata di 100.000 Euro a Regione Lazio / 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Stangata di 100.000 Euro a Regione Lazio / 2

Messaggio da Giancarlo Favero »

3.7 La limitazione della conservazione e la protezione dei dati fin dalla progettazione e per impostazione predefinita.

In base al principio di “limitazione della conservazione”, i dati personali devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e), del Regolamento).

In considerazione del rischio che incombe sui diritti e le libertà degli interessati, il titolare del trattamento deve - ”fin dalla progettazione” e “per impostazione predefinita” (art. 25 del Regolamento) - adottare misure tecniche e organizzative adeguate ad attuare i principi di protezione dei dati, integrando nel trattamento le necessarie garanzie per soddisfare i requisiti del Regolamento e tutelare i diritti e le libertà degli interessati (cfr. “Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020, spec. punti 42, 44 e 49).

Tale obbligo “vale [anche] per […] il periodo di conservazione […]” dei dati (art. 25, par. 2, del Regolamento).

Nel caso di specie, all’esito dell’istruttoria, è emerso che la Regione conserva i metadati relativi all’utilizzo della posta elettronica, per generiche finalità di sicurezza informativa, per un periodo di 180 giorni, che, anche alla luce dei provvedimenti adottati in materia dal Garante, non risultata giustificato per il perseguimento delle predette finalità. Ciò in quanto, ove occorra, eventuali incidenti di sicurezza possono e devono essere tempestivamente rilevati e mitigati, a tutela dell’integrità e del buon funzionamento dei sistemi informatici, attuando le opportune contromisure e, se del caso, facendo ricorso ai metadati relativi all’utilizzo della posta elettronica, in ogni caso entro limiti temporali ben più ristretti (v. provv.ti del Garante nn. 303 del 13 luglio 2016, doc. web n. 5408460; 1° febbraio 2018, n. 53, doc. web n. 8159221; 29 ottobre 2020, n. 214, doc. web n. 9518890).

Non è stato, pertanto, assicurato, sia al momento di determinare i mezzi del trattamento sia durante il trattamento stesso, che la protezione dei dati personali fosse integrata nel trattamento fin dalla sua progettazione e per impostazione predefinita durante l’intero ciclo di vita dei dati, “incorporan[d]o nel trattamento le misure e le garanzie adeguate ad assicurare l’efficacia dei principi di protezione dei dati, dei diritti e delle libertà degli interessati” e facendo in modo che “[venisse] effettuato per impostazione predefinita solo il trattamento strettamente necessario per conseguire la specifica e lecita finalità”, anche con riguardo al periodo di conservazione dei dati, “in tutte le fasi della progettazione delle attività di trattamento, compresi gli appalti, le gare di appalto, l’esternalizzazione, lo sviluppo, il supporto, la manutenzione, il collaudo, la conservazione, la cancellazione ecc.” (“Linee guida 4/2019 sull’articolo 25 - Protezione dei dati fin dalla progettazione e per impostazione predefinita”, cit.). Ciò ha pertanto determinato la violazione dell’art. 25 del Regolamento.

Né si può ritenere rilevante, ai fini dell’esclusione della complessiva responsabilità della Regione sotto tale profilo, la circostanza che, come dichiarato, la stessa “non ha indicato il […] tempo di conservazione [dei metadati connessi all’utilizzo della posta elettronica] alla società LazioCrea” e che, invece, la determinazione di tale tempo di conservazione dei metadati, pari a 180 giorni, sarebbe stata “frutto di valutazioni della società”.

Occorre, infatti, evidenziare che sul titolare del trattamento, in quanto soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati, grava una “responsabilità generale” sui trattamenti posti in essere (cons. 74 del Regolamento; cfr., tra i tanti, provv. 10 febbraio 2022, n. 43, doc. web n. 9751498 e i precedenti provv. ivi richiamati; v. anche le “Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, adottate dal Comitato europeo per la protezione dei dati il 7 luglio 2021, spec. par. 174).

In base al principio di “responsabilizzazione”, il titolare è, infatti, tenuto a rispettare i principi di protezione dei dati (art. 5, par 1, del Regolamento) e deve essere in grado di comprovarlo (art. 5, par. 2, del Regolamento), anche con riguardo alle adeguate misure tecniche e organizzative messe in atto al fine di garantire il rispetto della disciplina in materia di protezione dei dati e di quella di settore eventualmente applicabile (art. 24, par. 1, del Regolamento).

Come recentemente messo in evidenza dal Garante, il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare, anche avvalendosi del supporto del Responsabile della protezione dei dati, ove designato, la conformità ai principi applicabili al trattamento dei dati (art. 5 del Regolamento) adottando, nel rispetto del principio di responsabilizzazione, le opportune misure tecniche e organizzative e impartendo le necessarie istruzioni al fornitore del servizio (cfr. artt. 5, par. 2, 24, 25 e 32 del Regolamento; cfr., con riguardo a specifici trattamenti in ambito lavorativo, provv.ti 28 ottobre 2021, n. 384, doc. web n. 9722661, e 10 giugno 2021, n. 235, doc. web n. 9685922; ma v. anche provv. 17 dicembre 2020, n. 282, doc. web n. 9525337). In tale prospettiva, il titolare del trattamento deve accertarsi, ad esempio, che siano disattivate le funzioni che non sono compatibili con le finalità del trattamento o che si pongono in contrasto con specifiche norme di settore previste dall’ordinamento, specie in ambito lavorativo, commisurando adeguatamente anche i tempi di conservazione dei dati.

Dalla circostanza che la Regione abbia chiesto a LazioCrea di effettuare i controlli in questione su tali metadati si desume, peraltro, che la stessa fosse a conoscenza della raccolta degli stessi, che veniva effettuata per proprio conto e nel proprio esclusivo interesse da parte del responsabile del trattamento.

La necessità e le ragioni volte a giustificare tale ampia conservazione dei predetti metadati sono inoltre state prospettate dalla stessa Regione nel corso dell’istruttoria, in particolare in occasione dell’audizione, nel corso della quale è stata espressa la necessità che “al fine di garantire la sicurezza dei sistemi informativi” gli stessi devono essere conservati “per periodi di tempo sufficientemente lunghi, di almeno sei mesi”, confermando, in tal modo, che le scelte operate in proposito siano imputabili alla Regione o comunque riconducibili ad esigenze invocate dalla Regione in quanto titolare del trattamento.

Per tali ragioni, la scelta di fissare il periodo di conservazione in 180 giorni deve essere comunque imputata alla Regione. Conseguentemente, tenuto conto del quadro normativo di settore applicabile, le specifiche operazioni di trattamento consistenti nella generalizzata raccolta e memorizzazione per un arco temporale di 180 giorni dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti, si pongono, altresì, in contrasto con i principi di “limitazione della conservazione dei dati” nonché di “protezione dei dati personali fin dalla progettazione e per impostazione predefinita”, in violazione degli artt. 5, par. 1, lett. e), e 25 del Regolamento.

3.8 Il principio di responsabilizzazione.

Considerata la delicatezza del trattamento di dati personali posto in essere dalla Regione, idoneo a controllare a distanza l’attività dei lavoratori e a consentire al datore di lavoro di entrare in possesso anche di informazioni relative alla sfera privata degli stessi, e tenuto conto che tale trattamento, per le ragioni sopra esposte, è stato effettuato in violazione dei principi di base in materia di protezione dei dati di cui all’art. 5, par. 1, lett. a) ed e), si ritiene che la Regione abbia, altresì, agito in maniera difforme dal principio di “responsabilizzazione”, in violazione dell’art. 5, par. 2, del Regolamento (v. anche l’art. 24 del Regolamento).

3.9 La valutazione d’impatto sulla protezione dei dati.

Ai sensi dell’art. 35 del Regolamento, “quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi”.

In attuazione del principio di “responsabilizzazione” (cfr. art. 5, par. 2, e 24 del Regolamento), spetta al titolare valutare se i trattamenti che si intendono realizzare possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche - in ragione delle tecnologie impiegate e considerata la natura, l'oggetto, il contesto e le finalità perseguite - che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali (cfr. cons. 90 del Regolamento).

Nel caso di specie, il trattamento dei metadati relativi all’utilizzo della posta elettronica è stato effettuato anche in assenza di una preliminare valutazione d’impatto sulla protezione dei dati sul presupposto che il trattamento non presentasse rischi specifici per gli stessi.

Come, infatti, dichiarato dalla Regione nella propria memoria difensiva, la Regione ha provveduto a redigere una valutazione di impatto sulla protezione dei dati personali “relativa alla gestione dei log” soltanto successivamente all’avvio dell’istruttoria, sebbene il documento in questione non sembri riferirsi espressamente alla conservazione dei metadati relativi all’utilizzo della posta elettronica da parte dei dipendenti.

Tenuto conto delle indicazioni fornite anche a livello europeo sul punto, si rileva, invece, che il trattamento in questione, consistente nella sistematica raccolta di tali metadati (incluse le informazioni relative al mittente/destinatario e all’oggetto di ciascuna e-mail), nella memorizzazione per 180 giorni e nella possibilità di effettuare estrazioni, elaborazioni e verifiche su tali metadati, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo (art. 35 del Regolamento).

Tanto in considerazione della particolare “vulnerabilità” degli interessati nel contesto lavorativo (cfr. cons. 75 e art. 88 del Regolamento e le “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017, che, tra le categorie di interessati vulnerabili, menzionano espressamente “i dipendenti”) e del fatto che in tale ambito l’impiego di sistemi che comportano il “monitoraggio sistematico”, inteso come “trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti” (cfr. criterio n. 3 indicato nelle Linee guida, cit., ma vedi anche criteri 4 e 7), può presentare rischi - come emerso nel caso di specie - in termini di possibile monitoraggio dell’attività dei dipendenti (cfr. artt. 35 e 88, par. 2, del Regolamento; v. anche provv. 11 ottobre 2018, n. 467, doc. web n. 9058979, all. n. 1, che espressamente menziona i “trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici […] dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti”; v., tra gli altri, provv. 13 maggio 2021, n. 190, doc. web n. 9669974, par. 3.5).

Per tali ragioni, il trattamento dei dati personali in questione è stato effettuato dalla Regione in assenza di una valutazione di impatto e quindi in violazione dell’art. 35 del Regolamento.

4. Conclusioni.

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗, seppure meritevoli di considerazione, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio e si rileva l’illiceità del trattamento di dati personali effettuato dalla Regione, per aver effettuato il trattamento di dati personali in questione in violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, 12, 13, 25, 35, 88, par. 1, del Regolamento, nonché 113 e 114 del Codice (in relazione agli artt. 4 e 8 della l. 300/1970).

La violazione delle predette disposizioni rende applicabile la sanzione amministrativa prevista dall’art. 83, par. 5, del Regolamento, ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 3, del Regolamento medesimo, come richiamato anche dall’art. 166, comma 2, del Codice.

5. Misure correttive (art. 58, par. 2, lett. d) e f), del Regolamento).

L’art. 58, par. 2, del Regolamento attribuisce al Garante il potere di “ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine” (lett. d)), nonché di “imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” (lett. f).

Prendendo atto di quanto emerso in fase di istruttoria e tenendo conto della circostanza che dalla documentazione in atti risulta che la Regione stia tutt’ora raccogliendo e conservando per un periodo di 180 giorni i metadati relativi all’utilizzo della posta elettronica da parte dei lavoratori, si rende necessario, ai sensi dell’art. 58, par. 2, lett. d) e f), del Regolamento, disporre la limitazione del trattamento, vietando alla Regione di conservare tali dati per un periodo eccedente sette giorni dalla data della loro raccolta, in assenza dell’esperimento delle procedure di garanzia di cui all’art. 4, comma 1, della l. 300/1970, nonché disporre la cancellazione dei dati già raccolti e attualmente conservati in eccedenza del termine sopra indicato.

Ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, la Regione dovrà, inoltre, provvedere a comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

6. Adozione dell’ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria e delle sanzioni accessorie (artt. 58, par. 2, lett. i e 83 del Regolamento; art. 166, comma 7, del Codice).

Il Garante, ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento nonché dell’art. 166 del Codice, ha il potere di “infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle [altre] misure [correttive] di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso” e, in tale quadro, “il Collegio [del Garante] adotta l’ordinanza ingiunzione, con la quale dispone altresì in ordine all’applicazione della sanzione amministrativa accessoria della sua pubblicazione, per intero o per estratto, sul sito web del Garante ai sensi dell’articolo 166, comma 7, del Codice” (art. 16, comma 1, del Regolamento del Garante n. 1/2019).

Al riguardo, tenuto conto dell’art. 83, par. 3, del Regolamento, nel caso di specie la violazione delle disposizioni citate è soggetta all’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

La predetta sanzione amministrativa pecuniaria inflitta, in funzione delle circostanze di ogni singolo caso, va determinata nell’ammontare tenendo in debito conto gli elementi previsti dall’art. 83, par. 2, del Regolamento.

In relazione ai predetti elementi, è stata considerata sia la specifica natura del trattamento – avviato in modo non conforme alla disciplina di settore in materia di impiego di strumenti tecnologici sul luogo di lavoro e alle indicazioni fornite nel tempo dal Garante, per i profili di competenza - sia la prolungata durata del trattamento, che risulta, peraltro, ancora in corso, nonostante l’avvio dell’attività istruttoria e la successiva contestazione di violazione amministrativa. È stata, altresì, tenuta in considerazione la delicatezza dei dati trattati, essendo gli stessi idonei a rivelare anche informazioni inconferenti rispetto al contesto lavorativo e relative alla vita privata.

Di contro, si è tenuta in considerazione la circostanza che, ancorché il trattamento risulti attualmente in corso, la Regione ha comunque offerto un sufficiente livello di cooperazione nel corso dell’istruttoria e che le precedenti violazioni commesse dalla Regione non possono essere considerate precedenti specifici “relativamente allo stesso oggetto” (art. 83, par. 2, lett. i) del Regolamento) rispetto alla condotta in esame, la quale si riferisce a trattamenti effettuati per finalità eterogenee a quelle oggetto dei precedenti provvedimenti del Garante.

In ragione dei suddetti elementi, valutati nel loro complesso, si ritiene di determinare l’ammontare della sanzione pecuniaria nella misura di euro 100.000,00 (centomila) per la violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, 12, 13, 25, 35, 88, par. 1, del Regolamento, nonché 113 e 114 del Codice (in relazione agli artt. 4 e 8 della l. 300/1970), quale sanzione amministrativa pecuniaria ritenuta, ai sensi dell’art. 83, par. 1, del Regolamento, effettiva, proporzionata e dissuasiva.

Tenuto conto che la raccolta generalizzata dei dati personali relativi a lavoratori è tutt’ora in corso, in assenza dei presupposti di liceità previsti dalla disciplina di settore, si ritiene, altresì, che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

TUTTO CIÒ PREMESSO IL GARANTE

dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato dalla Regione per violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, 12, 13, 25, 35, 88, par. 1, del Regolamento, nonché 113 e 114 del Codice (in relazione agli artt. 4 e 8 della l. n. 300/1970), nei termini di cui in motivazione;

ORDINA

ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento, nonché dell’art. 166 del Codice, alla Regione Lazio, con sede legale in Via Cristoforo Colombo, 212 - 00147 Roma (RM), C.F. 80143490581, di pagare la somma di euro 100.000,00 (centomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione. Si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Regione:

a) di pagare la somma di euro 100.000,00 (centomila) in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, secondo le modalità indicate in allegato, entro trenta giorni dalla notifica del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della l. n. 689/1981;

b) ai sensi dell’art. 58, par. 2, lett. d) e f) del Regolamento, la limitazione del trattamento, vietando alla Regione ogni ulteriore operazione di trattamento con riguardo ai metadati relativi all’utilizzo della posta elettronica da parte dei lavoratori, conservati per un periodo eccedente a sette giorni dalla data della loro raccolta, in assenza dell’esperimento delle procedure di garanzia di cui all’art. 4, comma 1, della l. 300/1970, nonché la cancellazione dei dati già raccolti e attualmente conservati in eccedenza del termine sopra indicato;

c) ai sensi degli artt. 58, par. 1, lett. a), del Regolamento e 157 del Codice, di comunicare a questa Autorità, fornendo un riscontro adeguatamente documentato, entro trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione a quanto sopra ordinato ai sensi del citato art. 58, par. 2, lett. f), nonché le eventuali misure poste in essere per assicurare la conformità del trattamento alla normativa in materia di protezione dei dati personali.

DISPONE

la pubblicazione del presente provvedimento sul sito web del Garante ai sensi dell’art. 166, comma 7, del Codice (v. art. 16 del Regolamento del Garante n. 1/2019);

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 1° dicembre 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Rispondi